помогите разобраться с настройкой доступа в интернет через WireGuard-туннель

[Sirtaki Grek]

сначала я воспользовался это инструкцией и настроил туннель https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic после я хотел сделать доступ в интернет через этот тунель но у меня при использовании этой статьи https://help.keenetic.com/hc/ru/articles/360010551419 возникает проблема, ни один сайт не грузится и не пингуеться

приложил фото настроек которые сделал, межсетевой экран с адресом назначения 192.168.130.0/24 это сервер и 192.168.22.0/24 это клиент, настройка подключения с клиента и настройка приоритета с клиента
так же на сервере я включил настройки 

interface Wireguard0 security-level private
ip nat Wireguard0
system configuration save

[Илья Картавенко]

12 минуты назад, Sirtaki Grek сказал:

сначала я воспользовался это инструкцией и настроил туннель https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic после я хотел сделать доступ в интернет через этот тунель но у меня при использовании этой статьи https://help.keenetic.com/hc/ru/articles/360010551419 возникает проблема, ни один сайт не грузится и не пингуеться

приложил фото настроек которые сделал, межсетевой экран с адресом назначения 192.168.130.0/24 это сервер и 192.168.22.0/24 это клиент, настройка подключения с клиента и настройка приоритета с клиента
так же на сервере я включил настройки 

interface Wireguard0 security-level private
ip nat Wireguard0
system configuration save

А вы статический маршрут добавили?

 

Цитата

Чтобы по туннелю отправлялся трафик в удаленную сеть, нужно добавить статический маршрут.
Перейдите на страницу "Маршрутизация", нажмите на кнопку "Добавить маршрут" и укажите следующие параметры статического маршрута:

В поле "Тип маршрута" выберите значение "Маршрут до сети", в поле "Адрес сети назначения" укажите удаленную подсеть (в нашем примере это 192.168.100.0) и в поле "Интерфейс" выберите имя созданного ранее WireGuard-интерфейса (в нашем примере это "WG-S"), включите опцию "Добавлять автоматически".

 

Изменено 6 октября, 2022 пользователем Илья Картавенко

[Sirtaki Grek]

1 минуту назад, Илья Картавенко сказал:

А вы статический маршрут добавили

 

 

добавил, после того как сделал все по инструкции в этой статье https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic я выполнил пинг на адреса 172.16.82.1 и 192.168.22.1 и они прошли успешно

[Sirtaki Grek]

Только что, ANDYBOND сказал:

https://help.keenetic.com/hc/ru/articles/360010551419

Это сделано?

да, я зашел через telnet и применил эти настройки на роутере который является сервером

[Sirtaki Grek]

1 минуту назад, ANDYBOND сказал:

И перезагрузили его?

эм) нет  сейчас перезагрузил, и сервер перестал быть доступен по публичной ссылке  

[Sirtaki Grek]

Только что, ANDYBOND сказал:

На время перезагрузки или навсегда?

прошло уже продолжительное время и он все еще не отвечает  но я зашел с удаленного и локально в админку сервера роутера заходит 

[Sirtaki Grek]

Только что, ANDYBOND сказал:

В интерфейсе командной строки (CLI) роутера можно выполнить команды:

no isolate-private
system configuration save

И перезагрузка. Это для Кинетика-сервера.

да это я тоже делал для сервера, вместе с настройками которые были выше 

interface Wireguard0 security-level private
ip nat Wireguard0
system configuration save

[Sirtaki Grek]

Только что, ANDYBOND сказал:

После этого, если остальные настройки верны, всё заработает, нет - где-то в адресах в настройках ошибка.

да вот понять бы теперь почему сервер из вне не доступен после перезагрузки  в логах нашел только это, но понять что тут не так не получается

[Sirtaki Grek]

блин, я совершил ошибку даже по локальному пути на сервер после перезагрузки не заходит, я перепутал адреса )

получается после перезагрузки интерфейс роутера не доступен уже какой-то время 

 

[Sirtaki Grek]

нашел решение проблемы) роутер физически перезагрузил и пока был этим занят понял что на сервере у меня не Wireguard0 а Wireguard5
поэтому модифицировал настройки и вместе Wireguard0 на сервере прописал Wireguard5 сделал рестарт и заработало!

большое спасибо за уделенное время!!

[lliax]

Добрый день!

Существует вот такая инструкция от keenetic, которую тут тоже обсуждают, называется: Доступ в Интернет через WireGuard-туннель

В ней рассматриваются моменты которые мне не везде ясны. На мой взгляд логика или объяснение причинно-следственных связей до сих пор хромает в разных частях настроек. Хотя в целом я доволен тем как создают инструкции. Например просто указано: введите вот такую команду. А зачем она, что делает, не объясняется.

Прошу знатоков разжевать зачем нужны по инструкции следующие настройки:

1)

Цитата

2. Также в конфигурации на стороне клиента должен быть указан сервер DNS (например, публичный адрес DNS-сервера от Google 8.8.8.8).

Зачем нужно задавать публичный DNS сервер, а не например сам же роутер как DNS сервер? Все клиенты в локальной сети же работают без этой настройки.

вопрос снимаю сам, публичный сервер только в качестве примера, можно указывать и собственно сам роутер сервера как DNS сервер

2) 

Цитата

Также для интерфейса должна быть включена установка автоматической трансляции адресов (NAT). Для этого потребуется ввести команду:

ip nat Wireguard0

Что это за кнопка "Использовать для ВЫХОДА в интернет"? (В инструкции написано "для ВХОДА")? Входа или выхода? В чем разница? Для выхода в интернет клиентов WG или для клиентов локальной сети в интернет? На мой взгляд речь тут идёт про выход именно клиентов из локальной сети. Но почему словами то не дописать было это? Например "Использовать данный интерфейс для возможности доступа в интернет по данному VPN соединению клиентам локальных подсетей и его отображению в списке Профилей доступа в интернет" 

 

Цитата

В настройке самого интерфейса включите опцию "Использовать для входа в Интернет" и укажите DNS-сервер(ы).

3)

Цитата

Рассмотрим пример, когда клиенты, подключенные к роутеру Keenetic, который выполняет роль VPN-клиента, получат доступ в Интернет через данный VPN-туннель. Другими словами, с VPN-клиента весь трафик будет маршрутизироваться в WireGuard-туннель, как для доступа к удаленной сети, так и в Интернет.

Цитата

б) Через веб-конфигуратор добавляем разрешающее правило для Домашней сети для прохождения трафика в сеть за удаленным роутером.

Почему для Домашней сети? Можно выбрать любую другую подсеть с доступом в интернет со стороны VPN сервера?

При открытии доступа к такой подсети устройства этой подсети также будут доступны WG клиентам? Этого стоило бы избежать, когда такого доступа открывать не следует и например создать подсеть допустимую для WG клиентов.

4)

Цитата

А на стороне VPN-клиента добавьте разрешающее правило для Домашней сети для прохождения трафика в локальную сеть VPN-сервера.

Это когда VPN клиент рассматривается как роутер? Если это какой-нибудь ноутбук, для него же не надо никаких доп настроек делать, если доступ предполагается только с самого клиента?

5) ip nat Wireguard0

Ещё в инструкции стоило бы пояснить что нумерация интерфейсов меняется и актуальную нумерацию нужно проверить, прежде чем писать команды. В конфиг файле роутера написан текущий номер интерфейса. Но возможно и команда есть для вывода всех известных интерфейсов?

Как можно проверить текущее состояние интерфейса? no ip nat Wireguard0  или no ip nat Wireguard0. В конфигурационном файле с самого роутера видно только security-level public или private

 

Изменено 16 января, 2023 пользователем lliax

[vasek00]

Ну во первых статья датирована "Обновлено 11/06/2020 15:55" в ПО за данное время до 16.01.2023 уже многое изменилось.

 

1. Если очень коротко и поверхностно, то поле настройки DNS если прописать IP адрес то будет создан стат.маршрут через указанный интерфейс.

Например при настройки Интернета от провайдера :

- провайдер и его DNS

- пользовательские DNS в настройках провайдера

это все сводиться к стат.маршруту до нужного сервера через данный интерфейс в настройках WEB раздела, например интерфейс провайдера или настройки wireguard то будет интерфейс wireguard.

Так же учтем, что на текущий момент есть реализованные сервисы - "DNS профили" и "Политики подключений".

 

2. "Галка выхода в интернет" это просто создать маршрут по умолчанию на данный интерфейс, т.е. имеем выход через провайдера и это маршрут по умолчанию, то далее на нем поднимаете wireguard и получаете новый маршрут по умолчанию через интерфейс wireguard, или OpenVPN то будет через него OpenVPN.

 

Все описанное выше сводиться к маршрутизации через интерфейсы роутера.

 

Все остальные пункты относится к примерам использования роутера и клиентов подключенных к нему в том или ином варианте. Например такой вариант

Изменено 16 января, 2023 пользователем vasek00

[vasek00]

В догонку для управления роутером есть :

1. конфиг роутера достаточно несколько раз посмотреть в него

2. и команды cli или web cli (192.168.1.1/a)

Использование web cli достаточно удобно 192.168.1.1/a - это клавиша ТАВ и курсор вверх/вниз в выпадающем окне опять клавиша ТАВ и курсор вверх/вниз и т.д. пока не потребуется ввод значения. Если просто cli то там аналогично только клавиша "?" и будет список для данной команды.

[lliax]

1) У меня вопрос был почему в инструкции указывался публичный сервер. Именно публичный, это смущало.

DNS сервер я считаю лучше настраивать со стороны клиента. Я в самом роутере поле DNS в конфигурации WG оставляю пустым, а в файле клиентов указываю DNS в зависимости от того что за клиент. По умолчанию на сам роутер. По такому примеру:

[Interface]
PrivateKey = #####
Address = XXX.XXX.XXX.XXX/32
DNS = адрес роутера в локальной сети

[Peer]
PublicKey = #####
AllowedIPs = 0.0.0.0/0 - вот это поле вообще какое-то бесполезное. По факту нужно чтобы интернет у клиента работал. Но в чем смысл указывать в нём ограничения? Клиент же и сам может строку переписать.

Нужная штука оказывается. Когда NAT не включен до клиента и клиент хочет иметь доступ в интернет при включенном VPN от своего провайдера то вместо 0.0.0.0/0 указываем подсеть к которой организуем доступ.
Endpoint = белый IP : порт роутера

И больше ничего не указываю для клиентов.

2) Инструкции keenetic хорошо пишет для новичков. И их нужно значит обновлять и дополнять. Потому что каждый раз требуется какой-то переводчик. Мне именно было не ясно для КОГО эти входы/выходы в интернет. Т.е. для пиров которые в том же конфиге прописываются или для клиентов локальных сетей роутера (второе верно, но по тексту это не очевидно). Для доступа пиров WG к интернету через сервер-роутер включать эту галочку не требуется! Достаточно настроить маршрутизацию из той подсети (домашне или любой другой), из которой вы хотите допустить для пиров доступ.

Можно сделать в разделе маршрутизации WG правило разрешающее для подсети клиентов к подсети "Б" которой вы хотели организовать доступ. И если подсети "Б" был уже доступен интернет, то он появится и у клиентов. Дополнительных правил не требуется.

2.1) Я вот до сих пор не очень понимаю принципа по разделам которые есть в меню маршрутизации. Межсетевой экран разбит на группы подсетей. Что именно разделено до конца не ясно. Сейчас создал разрешение по IP из подсети "Б" источник любой назначение подсеть WG. Интернет есть у всех клиентов, но нет доступа к другим подсетям - это понятно, логика есть. А если указать назначение не как подсеть, а как любой, то из подсети "Б" появляется доступ к другим подсетям. Или возможно даже все ко всем будут иметь доступ. Т.е. уже нет никакого ограничения.

5) по командам спасибо за tab и курсор. Но дальше я все равно не пойму. Как проверить включен или нет NAT для WG интерфейса?

Нашел в файле конфига строку ip nat Wireguard1 среди прочих. По ней можно сориентироваться.

Изменено 16 января, 2023 пользователем lliax